نماد سایت اتاق خبر شبکه گستر

استفاده نسخه جدید Locky از پسوند asasin

باج افزار لاکی

نسخه جدیدی از باج‌افزار Locky در حال انتشار است که به فایل های رمزگذاری شده پسوند asasin. را الصاق می‌کند. به نظر می‌رسد پسوند مذکور برگرفته از کلمه Assassin به معنای قاتل است که حالا به دلیل اشتباه املایی یا شاید به سبب کوتاه کردن تعداد نویسه‌های پسوند به این صورت استفاده شده است.

به گزارش شرکت مهندسی شبکه گستر، روش انتشار این نسخه از باج‌افزار هرزنامه‌هایی با عناوینی همچون Document invoice_95649_sign_and_return.pdf is complete است. در نمونه بررسی شده در این گزارش نشانی فرستنده هرزنامه documents@rightsignature.com بوده است.

مشابه چند نسخه پیشین این باج‌افزار پسوند این هرزنامه‌ها فایلی با پسوند 7zip یا 7z است که در آن یک فایل VBS جاسازی شده است. وظیفه فایل VBS دریافت فایل مخرب Locky از اینترنت و اجرای آن بر روی دستگاه است.

این فایل نام و پسوند فایل‌های رمزگذاری شده را بر اساس الگوی زیر تغییر می‌دهد:

[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[8_hexadecimal_chars]-[12_hexadecimal_chars].asasin

به عنوان نمونه، فایلی با نام 1 و پسوند png پس از رمزگذاری شدن توسط این نسخه از Locky به E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.asasin تغییر نام می‌دهد.

پس از رمز شدن فایل‌های کاربر، فایل مخرب دریافت شده در ابتدا فرآیند رمزنگاری از روی دستگاه حذف شده و اطلاعیه باج‌گیری ظاهر می‌شود.

فایل‌های مربوط به اطلاعیه باج‌گیری در این نسخه asasin.htm و asasin.bmp نام دارند.

توضیح اینکه نمونه بررسی شده در این گزارش با نام های زیر شناسایی می شود:

McAfee
   – RDN/Ransom
   – VBS/Downloader.ea
   – Ransomware-GHE!DBC0AA7E70DF

Bitdefender
   – Trojan.GenericKD.12501554
   – VB:Trojan.VBS.Agent.AOM
   – Trojan.GenericKD.6104564
   – Trojan.GenericKD.12478391

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

خروج از نسخه موبایل